CISA中文试题

信息系统审计和控制学会(ISACA)

2006 CISA考试大纲

(中文版)

CISA中文站，2005年12月

https://www.360docs.net/doc/2118603584.html,

第一部分信息系统审计程序

依据信息系统审计标准、准则和最佳实务等提供信息系统审计服务以帮助组织确保其信息技术和运营系统得到保护并受控。

任务描述：

1.1 根据信息系统审计标准、准则和最佳实务，为组织制定和实施基于风险的信息系统审计战略。

1.2 为确保信息技术和运营系统是受保护和受控的，规划详尽的审计

1.3 遵照信息系统审计标准、准则和最佳实务，实施审计，以达到制定的审计目标(目的)。

1.4 就新出现的问题、潜在的风险和审计结果(结论)，与利益相关人沟通。

1.5 在保持独立性的前提下，为组织内风险管理和控制实务的实施提供建议和意见。

知识描述：

1.1 ISACA发布的信息系统审计标准、准则、程序和职业道德规范

1.2 IS审计实务和技术

1.3 收集信息和保存证据的技术（如观察、调查问卷、谈话、计算机辅助审计技术、电子介质）

1.4 证据的生命周期（如证据的收集、保护和证据之间的相关性）

1.5 与信息系统相关的控制目标和控制（如CobiT模型）

1.6 审计过程中的风险评估

1.7 审计计划和管理技术

1.8 报告和沟通技术（如推进、商谈、解决冲突）

1.10 不间断审计技术(即：连续审计技术)

第一部分占考试卷面的10%

CISA中文站(https://www.360docs.net/doc/2118603584.html,) 第 1 页

第二部分 IT治理(信息技术治理)

确保组织拥有适当的结构、政策、工作职责、运营/管理机制和监督实务，以达到公司治理中对IT方面的要求。

任务描述：

2.1 评估IT治理结构的效果，以确保董事会对IT决策、IT方向和IT性能的充分(且适当的)控制，从而支持组织的战略和目标。

2.2 评估IT组织结构和人力资源管理，确保对组织战略和目标的支持。

2.3 评估IT战略及其起草、批准、实施和维护的程序，以保证其对组织战略和目标的支持

2.4 评估组织的IT政策、标准和程序，及其制定、批准、实施和维护的流程，以确保其对IT战略的支持并符合法律、法规的要求。

2.5 评估管理实务，确保其符合组织的IT战略、政策、标准和程序的要求。

2.6 评估IT资源的投资、使用和配置实务，确保符合组织的战略和目标。

2.7 评估IT签约战略和政策、及合同管理实务，以保证其对组织战略和目标的支持。

2.8 评估风险管理实务，确保组织的、与IT相关的风险得到了适当的管理。

2.9 评估监督和保证实务，保证董事会和执行经理层能及时、充分地获得有关IT绩效的信息。

知识描述：

2.1 IT战略、政策、标准和程序对于组织的意义，及其基本要素

2.2 IT治理框架(体系)

2.3 制定、实施和维护IT战略、政策、标准和程序的流程。如：信息资产的保护、业务持续和灾难恢复、系统和基础建设生命周期、IT服务交付与支持2.4 质量管理战略和政策

2.5 与IT使用和管理相关的组织结构、角色和职责。

2.6 公认的国际IT标准和准则(指导)。

2.7 制订长期战略方向的企业所需的IT体系及其内容

2.8 风险管理方法和工具

2.9 控制框架(模型)的使用，如：CobiT、COSO、ISO 17799等控制模型。

2.10 成熟度和流程改进模型(如：CMM、CobiT)的使用。

2.11 签约战略、程序和合同管理实务。

2.12 IT绩效的监督和报告实务

2.13 有关的法律、规章等问题(如：保密法/隐私法、知识产权、公司治理的要求) 2.14 IT人力资源管理

2.15 IT资源投资和配置实务(如：投资的资产管理回报

) 第二部分占考试卷面的15%

CISA中文站(https://www.360docs.net/doc/2118603584.html,) 第 2 页

第三部分系统和基础建设生命周期管理

系统的开发/采购、测试、实施(交付)、维护和(配置)使用，与基础框架，确保实现组织的目标。

任务描述：

3.1 评估拟定的系统开发、采购等业务案例，以确保其符合组织的发展目标。

3.2 评估项目管理框架和项目治理实务，确保组织在风险管理上，以成本——效益的原则达成组织的业务目标。

3.3 实施检查以确保项目是依照项目计划推进的，并由相应的文档充分支持，项目状态报告也是准确的。

3.4 经过需求定义(规格说明)、开发/采购和测试的系统(和/或体系)，评估其（拟定的）控制机制，以确保其安全，并符合组织的政策和其他方面的要求。

3.5 评估系统(和/或体系)的开发/采购和测试流程，确保其交付符合组织的目标。

3.6 评估系统(和/或体系)为实施(指现场安装)、交付使用的准备情况。

3.7 实施系统(和/或体系)的(现场)实施后的检查，以确保其满足组织的目标，并受到有效的内部控制。

3.8 对系统(和/或体系)实施定期检查，以确保其持续地满足组织的目标，并受到有效的内部控制。

3.9 评估系统(和/或体系)的维护流程，以确保其持续地满足组织的目标，并受到有效的内部控制。

3.10 评估系统(和/或体系)的(退役)处置流程，以确保其符合组织的政策和程序。

知识描述：

3.1 收益管理实务(例如：可行性研究、业务案例)

3.2 项目治理机制，如：项目指导委员会、项目监督委员会

3.3 项目管理实务、工具和控制框架

3.4 用于项目管理上的风险管理实务

3.5 项目成功的原则和风险

3.7 确保IT系统应用的交易和数据的完整性、准确性、有效性和授权的控制目标和技术

3.8 关于数据、应用和技术的企业框架

3.9 需求分析和管理实务，如：需求验证、跟踪(可追溯)、差距分析

3.10 采购和合同管理程序，如：评估供应商、签合同准备、供应商管理、由第三方保存附带条件委付的契约(escrow)。

3.11 系统开发方法和工具，以及它们的优缺点。例如，敏捷开发实务，原型、快速应用开发(RAD)，面向对象的设计技术。

3.12 质量保证方法

3.13 测试流程的管理，如，测试战略、测试计划、测试环境、启用和关闭(测试)的标准。

3.14 数据转换工具、技术和程序。

第三部分占考试卷面的16%

CISA中文站(https://www.360docs.net/doc/2118603584.html,) 第 3 页

3.15 系统(和/或体系) (退役)的处置程序

3.16 软件、硬件的认证和鉴定实务。

3.17 (现场)实施后的检查的目标和方法。如：项目关闭、收益实现、绩效的测定。

3.18 系统移植和体系开发实务。

第四部分IT服务的交付与支持

IT服务管理实务可确保提供所要求的等级、类别的服务，来满足组织的目标。

任务描述

4.1 评估服务管理实务，以确保由内部和外部服务提供商提供的服务等级是明确定义的、受管理的。

4.2 评估运营管理，以保证IT支持职能有效地满足了业务要求。

4.3 评估数据管理实务，以确保数据库的完整性和最优化。

4.4 评估(生产)能力的使用和性能监控工具和技术，以保证IT服务满足组织的目标。

4.5 评估变更、配置和(系统版本)发布管理实务，确保组织生产环境的变化得到了充分的控制，并被详细记录。

4.6 评估问题和事件管理实务，确保所有事件、问题和错误都被及时记录、分析和解决。

4.7 评估IT基础构架(如：网络设备、硬件、系统软件)的功能，确保其对组织目标的支持。

知识描述：

4.1 服务的等级(或水平)管理实务

4.2 运营管理最佳实务，例如：工作负荷调度、网络服务管理、预防性维护。

4.3 系统性能(或效能)监控程序、工具和技术。例如：网络分析器、系统利用率报告、负载均衡

4.4 硬件和网络设备的功能。如：路由器、交换机、防火墙和外围设备

4.5 数据库管理实务

4.6 操作系统、工具软件和数据库管理系统(例如，关系型数据库：Oracle、PostgreSQL)等系统软件的功能。

4.7 生产能力计划和监控技术

4.8 对生产系统(或体系)的应急变更和调度管理程序，包括变更、配置、(版本)发布和补丁管理实务。

4.9 (生产)事件/问题管理实务。如，帮助台(负责电话受询，提供一般性技术救援)、(逐级)上报程序和(技术)追踪。

4.10 软件许可证和(其总量)清单管理实务。

4.11 系统弹性之工具和技术，例如：容错硬件、单点失效的排除、(服务器)群集(或矩阵)。

第四部分占考试卷面的14%

CISA中文站(https://www.360docs.net/doc/2118603584.html,) 第 4 页

第五部分信息资产的保护

通过适当的安全体系(如，安全政策、标准和控制)，保证信息资产的机密性、完整性和有效性。

任务描述：

5.1 评估逻辑访问控制的设计、实施和监控，确保信息资产的机密性、完整性、有效性和经授权地使用。

5.2 评估网络框架的安全，保证网络和被传输信息的机密性、完整性、有效性和经授权地使用。

5.3 评估环境控制的设计、实施和监控，以避免和/或减少损失

5.4 评估物理访问控制的设计、实施和监控，确保信息资产充分地安全。

5.5 评估保密信息资产的采集、存储、使用、传输(或运输)和(退役)处置程序和流程。

知识描述：

5.1 (信息系统的)安全(措施的)设计、实施和监控技术。如：威胁和风险评估、敏感性分析、泄密评估

5.2 用户使用授权的功能和数据时，识别、签订和约束等逻辑访问控制。例如：动态密码、询问/应答、（配置）菜单、(用户)资料信息。

5.3 逻辑访问安全体系。如：单点登陆(SSO)、用户识别策略、标识(身份)管理。

5.4 攻击方法和技术。如：黑客、欺骗、特络伊木马、拒绝服务、垃圾电子邮件。

5.5 对安全事件的监测和响应程序。如：上报程序、突发事件响应团队

5.6 网络和Internet 安全设备、协议和技术。如：SSL、SET、VPN、NAT

5.7 入侵监测系统和防火墙的配置、实施、运行和维护。

5.8 加密算法/技术。如：AES、RSA

5.9公共密钥结构(PKI)组件(如：CA、RA)和数字签名技术

5.10 病毒监测工具和控制技术

5.11 安全(方案)的测试和评估技术。例如：渗透测试、漏洞扫描

5.12 (生产)环境保护实务和设备。如：火灾压制、冷却系统和水传感器

5.13物理安全系统和实务。例如：生物(特征)鉴定、门卡、密码锁。

5.14 数据分类方案。例如：公开的、保密的、私密的和敏感的数据。

5.15 语音通讯的安全。如：V oIP

5.16保密信息资产的采集、存储、使用、传输(或运输)和(退役)处置程序和流程。

5.17 与使用便携式和无线设备(例如：个人商务通PDA、USB设备和蓝牙设备)相关的控制和风险。

第五部分占考试卷面的31%

CISA中文站(https://www.360docs.net/doc/2118603584.html,) 第 5 页

第六部分灾难恢复和业务连续性计划

一旦连续的业务被(意外)中断(或破环)，灾难恢复计划确保(灾难)对业务影响最小化的同时，及时恢复(中断的)IT服务。

任务描述：

6.1评估备份和恢复准备的充分性，确保恢复运营所需信息的有效性(和可用性)。

6.2 评估组织的灾难恢复计划，确保一旦发生灾难，之后IT处理能力的恢复。

6.3 评估组织的业务连续性计划，确保IT(遭破环)服务中断期间，基本业务运营不间断的能力。

知识描述：

6.1 数据备份、存储、维护、保留和恢复流程，和实务。

6.2 业务连续性和灾难恢复有关的法律、规章、协议和保险问题。

6.3 业务影响分析(BIA)

6.4 开发和维护灾难恢复和业务连续性计划。

6.5 灾难恢复和业务连续性计划测试途径和方法

6.6 与灾难恢复和业务连续性计划有关的人力资源管理。例如：疏散计划、(紧急)响应团队。6.7 启用灾难恢复和业务连续性计划的程序(或流程)。

6.8 备用业务处理站点(指场所和设施)的类型，和监督有关协议/合同的方法。

更多详情，请参考

ISACA总部https://www.360docs.net/doc/2118603584.html,

CISA中文站https://www.360docs.net/doc/2118603584.html,

第六部分占考试卷面的14%

CISA中文站(https://www.360docs.net/doc/2118603584.html,) 第 6 页